Назад | Перейти на главную страницу

S2S Проблема с Google Cloud VPN и Cisco ASA 5545

Я использую шлюз Google Cloud VPN и пытаюсь подключиться к устройству CISCO ASA 5545 сторонней организации. Это статическая настройка маршрута, и маршрутизатор Cisco использует только IKE v1.

У меня есть эта проблема, когда из журналов я мог видеть, что соединение установлено, затем он говорит о смене расписания сразу после, затем получил уведомление об ошибке INVALID_ID_INFORMATION, затем получил DELETE для IKE_SA vpn_ [PEER IP], затем удалил IKE_SA vpn_ [PEER IP] между [ ОБЩЕСТВЕННЫЙ IP-адрес VPN] ... [ПЕРВНЫЙ IP-адрес]. Это продолжает повторяться в журнале.

Очевидно, есть несоответствия конфигурации; локальный клиент хочет, чтобы я изменил шифрование на AES-256 или 3des, потому что «устройство не поддерживает AES 128». Можно ли вообще изменить шифрование для Google Cloud VPN после того, как вы решили использовать IKEv1?

Согласно документации https://cloud.google.com/compute/docs/vpn/advanced, IKEv1 использует шифрование aes-cbc-128, можно ли изменить его на aes-256? Можно ли заставить локальное устройство работать с aes-128?

Использование статического маршрута и IKEv1 создавало значительные ограничения, но это было то, что поддерживал сторонний партнер. Самым важным было то, что я не мог использовать блоки multi-cidr и был ограничен aes-128 для шифрования.

После поиска некоторых ошибок в журнале, включая INVALID_ID_INFORMATION, я обнаружил ссылки, которые предполагали, что шифрование на устройстве ASA не соответствовало. Я просмотрел это в руководстве и обнаружил, что есть опция aes, которая на самом деле была aes-128. Как только это было решено на одноранговом устройстве, я получил еще один НЕДОСТАТОЧНЫЙ HASH ID в журнале.

Проверка статуса подключения в gcloud оказалась очень полезной https://cloud.google.com/compute/docs/vpn/creating-vpns. Пользовательский интерфейс дает мало информации по этому поводу:

gcloud compute --project [PROJECT_ID] vpn-tunnels describe tunnel1 --region us-central1

Это дало следующий полезный результат:

Please verify that the network range and the remote network IP ranges of the tunnel match the configured IP ranges on the peer device.

Последняя часть была довольно легкой; после сопоставления блоков cidr, определенных на одноранговом устройстве в селекторе локального трафика облачного vpn-туннеля, туннель появился.

Итак, чтобы ответить на некоторые вопросы: можно ли изменить настройку шифрования на облачном vpn? Нет

Можно ли заставить локальное устройство Cisco 5545 работать с aes-128? Да.